Combinaison de cookies et de sessions

Question

Cette question est le résultat de diverses questions que j'ai eu au sujet des cookies.

Comme vous le savez, il ne suffit pas de gérer le processus de connexion avec les cookies. Mais comment puis-je configurer un cookie lorsque je suis connecté et être automatiquement connecté lorsque je redémarre mon navigateur?

Si je redirige en fonction de l'existence du cookie, c'est dangereux car quelqu'un d'autre pourrait simplement créer un cookie. Alors, quel est le moyen de faire face à cela?

Answer 1

Oui, un cookie de connexion automatique présente une vulnérabilité, mais vous pouvez en atténuer certaines avec diverses techniques, par exemple en vous assurant qu'une valeur de cookie ne peut être utilisée qu'une seule fois.

Pour plus de détails, jetez un oeil à

• Persistent Login Cookie Best Practice
• Improved Persistent Login Cookie Best Practice

Et voir ces autres réponses StackOverflow bien

• PART I: How To Log In
• PART II: How To Remain Logged In - The Infamous "Remember Me" Checkbox
• PART III: Using Secret Questions
• PART IV: Forgotten Password Functionality
• PART V: Checking Password Strength
• PART VI: Much More - Or: Preventing Rapid-Fire Login Attempts
• PART VII: Distributed Brute Force Attacks